一���、漏洞詳情
Go(也稱為Golang)是由Google開發(fā)的開源編程語言���,旨在提供高效�、簡潔和易于并發(fā)編程的功能�。
近日�����,監(jiān)測到Go語言官方發(fā)布了關(guān)于CVE-2025-22867漏洞的公告��。該漏洞影響Go 1.24rc2版本的漏洞,存在于Darwin(macOS)平臺上���。該漏洞源于Go構(gòu)建過程中,CGO模塊與Apple版本的ld(鏈接器)配合使用時�,濫用#cgo LDFLAGS指令中的@executable_path�、@loader_path或@rpath等特殊路徑值���,可能導(dǎo)致任意代碼執(zhí)行。攻擊者可通過精心構(gòu)造的Go模塊觸發(fā)此漏洞�����,在構(gòu)建過程中執(zhí)行惡意代碼,從而危及系統(tǒng)安全�。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作�����,以免遭受黑客攻擊���。
二�、影響范圍
Go 1.24rc2
三、修復(fù)建議
升級至 Go 1.24rc3 或更高版本。